Investigadores españoles demuestran que las redes 3G se pueden 'hackear' al menos de cuatro formas


David Pérez, durante su intervención en la Rooted CON 2014 (Foto: HojaDeRouter.com)  

Cuando alguien con escasos conocimientos de seguridad informática asiste a un congreso de 'hackers', lo primero que debe hacer es desconectar el WiFi. Aunque lo normal es que no suceda nada - y, si sucede, la mayor parte de las veces no habrá maldad en ello (simplemente un reto o una broma) - puede llevarse un susto desagradable. Solo será eso, un susto, una anécdota que acabará rememorando con cariño, pero si tiene cosas importantes y urgentes que hacer con el ordenador mejor que tire de 3G y se ahorre las molestias.
Al menos mientras pueda, porque ya ni el 3G está exento de amenazas. Los investigadores José Picó y David Pérez, cofundadores de la empresa de seguridad Layakk, han levantado el armazón teórico que demuestra que al menos cuatro ataques factibles contra dispositivos que utilizan la tecnología GSM (2G) podrían también llevarse a cabo, con algunas modificaciones, contra terminales conectados por 3G.
Así lo han hecho público en la quinta edición del congreso de seguridad informática Rooted CON, al que HojaDeRouter.com asiste como medio colaborador. Y no es la primera vez que acuden a este evento con trabajos similares bajo el brazo. En pasadas ediciones, estos dos expertos españoles presentaron diversas vulnerabilidades de las redes 2G y herramientas de fabricación propia capaces de explotarlas.
El 3G no está exento de amenazas (Foto: Thiago Avancini | Flickr)
El 3G no está exento de amenazas (Foto: Thiago Avancini | Flickr)

Hacer uso de la tecnología 2G "es inseguro, totalmente inseguro", sentencian. "Hay una serie de vulnerabilidades y ataques conocidos desde hace tiempo y varios investigadores han publicado ataques contra ellos, que van desde la intercepción de las comunicaciones hasta la localización de un usuario que esté utilizando la tecnología GSM, ataques de denegación de servicio y ataques de localización física y geográfica".
Imagina que estás llamando al banco y alguien te contesta haciéndose pasar por ellos. O, peor, imagina que de repente es el banco quien te está llamando, lo coges pensando que son ellos, y en realidad se trata de un atacante con nefastas intenciones. Tú crees saber dónde estás llamando, pero en realidad quien te ha contestado no es un operador de la entidad, sino un ciberdelincuente que quiere hacerse con tu DNI, tu PIN y vaya usted a saber qué otras siglas con las que limpiarte la cuenta corriente. Pues todo eso podría sucederte si empleas las redes 2G.
Y dirás: yo puedo estar tranquilo, porque hace mucho tiempo que no las utilizo. Pues bien, eso no es del todo cierto. Los hallazgos a nivel teórico de Picó y Pérez demuestran que, en cierta medida, la tecnología UMTS (3G) también es vulnerable a ciertos ataques.
"El hecho de que estos ataques se podían hacer era conocido, porque en la web hay algunas empresas que venden sistemas que dicen que hacen esto", nos explican los investigadores. "Lo que no estaba publicado de una forma recopilatoria es el "cómo" se hacen. Y eso es lo que nosotros vamos a explicar. Nosotros intentamos explicar lo que estas empresas dicen que hacen, explicar cómo lo hacen, cuál es la teoría que hay detrás y decir que se podría llevar a la práctica".
Primer ataque: 'IMSI catcher'
Consiste en hacerse pasar por la operadora que sirve la conexión a un usuario para recabar su código IMSI, un identificador único de la tarjeta SIM que permite saber quién es el propietario de un dispositivo móvil. El único requisito es que esté situado dentro del alcance del sistema que el atacante utiliza.
Hasta hace bien poco se pensaba que el 3G había acabado con la vulnerabilidad de la tecnología GSM que hace posible el 'IMSI catcher', pero según los investigadores no es del todo cierto.
Un momento de la ponencia de Picó y Pérez en la Rooted CON 2014 (Foto: @rootedcon | Twitter)
Un momento de la ponencia de Picó y Pérez en la Rooted CON 2014 (Foto: @rootedcon | Twitter)

Una de las principales ventajas del 3G es que la red debe identificarse frente al móvil, y no solo a la inversa, como ocurría en 2G. La red será legítima si conoce una clave secreta almacenada en el terminal, que viaja cifrada. Lo que pasa es que, según Picó y Pérez, hay una forma de esquivar esta barrera. El protocolo de las comunicaciones 3G permite cierto intercambio de información entre la red y el dispositivo antes de que se produzca esta autenticación y entre en juego la criptografía.
"Tu víctima es el móvil, tú a quien suplantas es a la red", detalla Pérez. "El protocolo lo permite y, como es así, haces uso de la secuencia adecuada del protocolo para decirle al móvil: 'Oye, ¿tú quién eres?'". Y él contesta con su IMSI.
Segundo ataque: localización geográfica
Por el hecho de tener el móvil encendido y conectado a una red 3G, un atacante que esté relativamente cerca de ti (hasta un radio de unos 2 o 3 kilómetros) puede averiguar tu posición con una precisión muy alta. "En 2G llegamos a implementarlo", explican José y David, "y ahora mostramos que esto mismo se podría hacer en 3G perfectamente".
Gracias al código IMSI que has capturado en el primer ataque, puedes establecer un canal de radio con el móvil (un móvil concreto, que ya sabes a quién pertenece) y mantenerlo abierto el tiempo suficiente para que te dé tiempo a triangular su posición y mostrarla en una pantalla.
Tercer ataque: denegación de servicio
Este es muy fácil de entender. Antes de que se produzca la autenticación y el intercambio comience a estar cifrado, la falsa red que suplanta a la operadora envía un código de rechazo al dispositivo móvil, denegándole la conexión. Así, el teléfono se queda sin cobertura 3G y no la recupera hasta que se produzca un reinicio.
Cuarto ataque: 'downgrade' selectivo
Este ataque, exclusivo de 3G, es algo así como la llave maestra de todos los ataques, puesto que obliga al móvil a conectarse a la antigua e insegura red 2G. Esto ya se podía hacer con un inhibidor de frecuencias, pero era demasiado caro, el atacante debía estar presente en todo momento y no era un mecanismo selectivo. "Si yo inhibo la frecuencia en el centro de la ciudad estoy inhibiendo toda la frecuencia 3G en ese ámbito, incluido mi móvil", nos explican. "Ahí nadie se salva. Es un montón de ruido electromagnético que hace que los móviles no pillen señal".
El ataque que plantean David y José, en cambio, es selectivo. "Lo podemos hacer para unos móviles sí y para otros no, en función de lo que nosotros queramos". Como podemos localizar a nuestra víctima por medio de su IMSI, podemos mandarla a ella – y solo a ella - a 2G.
Hay dos formas de hacerlo. La primera consiste en utilizar el ya citado código de rechazo (querido móvil, "no eres válido para 3G, vete a 2G") y la segunda, en pocas palabras, viene a ser como decirle al terminal: amigo, tengo un canal de radio para ti, pero no es 3G. Es 2G, ya lo siento. En ambos casos, el ataque solo se puede llevar a cabo contra dispositivos que acepten conexiones 2G (por ejemplo el iPhone no lo hace).
¿Y todo esto puede hacerse ya?
No. Como hemos dicho, el acercamiento de José y David a estos ataques es, de momento, puramente teórico. Se han leído una montaña de folios incomprensibles para la mayoría de los mortales (las especificaciones y normas del 3G) y de ahí han sacado la conclusión de que varios ataques conocidos en 2G también funcionarán en la tercera generación de redes móviles.
Ahora falta el trabajo empírico, que ya está en marcha. "Para 2G había herramientas y nosotros desarrollamos 'software' sobre ellas para hacer todo este tipo de cosas, para hacer que un ordenador pudiese hablar el dialecto de las comunicaciones móviles para hacer este tipo de ataques", explican los investigadores. "Pero para 3G eso no existe o no está disponible, así que hay que construir todas las comunicaciones de un sistema para que hable 3G desde cero". Algo así como enseñarle a un ordenador el idioma que hablan los móviles con las redes.
José Picó, durante la Rooted CON 2014 (Foto: HojaDeRouter.com)
José Picó, durante la Rooted CON 2014 (Foto: HojaDeRouter.com)

"Los distintos ataques necesitarían usar distinto 'software', pero en todos ellos hay una pieza común: que todos los aparatos sepan hablar 3G, enviar información que la red 3G entienda y recibir información. Ahora estamos construyendo esa pieza común, que es el módem 3G. Y luego, para cada uno de estos ataques, habría que implementar otra pequeña parte de 'software' encima de eso que ya hiciera ese ataque en concreto".
¿Y después? Después rezar para que las redes 4G, que en España aún están en pañales, no tengan las mismas vulnerabilidades. Picó y Pérez no son muy optimistas: "Aún no podemos aventurarnos. Lo que sí creemos, pero habría que confirmarlo mirando todos los documentos, es que, en cualquier caso, algo de comunicación de radio tiene que haber antes de que se produzca la autenticación". Si están en lo cierto, es probable que durante un (largo) tiempo nuestros teléfonos, relojes, pulseras y hasta coches 'inteligentes' estén expuestos a peligrosísimos ataques.
¿A que ahora entiendes por qué es importante la seguridad informática?